Introduction De nombreuses équipes bleues utilisent MITRE ATT&CK pour développer la maturité de leur détection et réponse. L’arsenal des équipes bleues comprenant les outils EDR, les journaux d’événements et les outils de triage révèlent ce qui se passe sur les points d’extrémité. Cependant, les anomalies sont normales et ces alertes et sources de données doivent […]
Défis quotidiens du directeur financier dans une entreprise de cybersécurité
Je travaille dans l’entreprise depuis sa fondation en 2015, et durant cette période, SOC Prime est passée d’une petite startup à une entreprise internationale en plein essor. Nos employés évoluent également professionnellement pour suivre le rythme du développement. Pour chacun d’entre nous, travailler chez SOC Prime a apporté des défis et des expériences inattendues. Sécurité […]
Contenu de détection proactive : CVE-2019-0708 vs ATT&CK, Sigma, Elastic et ArcSight
Je pense que la majeure partie de la communauté de la sécurité a convenu que la vulnérabilité CVE-2019-0708 est d’une priorité critique à traiter. Et bien que dire « corrigez vos affaires ! » semble être la première chose à laquelle il faut penser, les souvenirs de WannaCry et NotPetya sont encore frais dans mon […]
Guide des règles Sigma pour ArcSight
Introduction à Sigma Sigma, créé par Florian Roth et Thomas Patzke, est un projet open source visant à créer un format de signature générique pour les systèmes SIEM. L’analogie courante est que Sigma est l’équivalent des journaux de ce que Snort est pour IDS et YARA pour la détection de logiciels malveillants basés sur des […]
La Théorie et la Réalité du ROI des SIEM
Beaucoup de choses sont écrites sur le SIEM, mais mon expérience personnelle avec ces merveilleux outils a commencé en 2007. Aujourd’hui, la technologie elle-même a plus de 18 ans et le SIEM est à tous égards un marché mature. Avec des clients, une équipe et des partenaires, j’ai eu le privilège de participer activement à […]
Enquête Stealthphish : 528 domaines impliqués dans une attaque BEC contre des entreprises du Fortune 500
Il y a environ une semaine, nous avons reçu cette info de l’un de nos partenaires : « Nous voyons des e-mails de phishing circulant dans notre environnement (Interne à Interne) » accompagnée d’un échantillon de courriel partagé avec nous. Aujourd’hui, nous allons analyser les récentes attaques de phishing ciblant les entreprises Fortune 500 et […]
Intégration de QRadar avec VirusTotal
Bonjour. Dans le dernier article, nous avons envisagé créer des règles, et aujourd’hui je veux décrire la méthode qui aidera les administrateurs SIEM à répondre plus rapidement aux incidents de sécurité possibles. Lors de la gestion des incidents de sécurité de l’information dans QRadar, il est extrêmement important d’augmenter la vitesse de travail des opérateurs […]
Splunk. Comment colorer les lignes de tableau en fonction des conditions.
Dans l’article précédent, j’ai démontré comment créer un tableau de bord simple qui surveille l’accessibilité des sources dans Splunk. Aujourd’hui, je veux vous montrer comment rendre tout tableau du tableau de bord plus évident et pratique. Regardons mon dernier article et continuons à améliorer la fonctionnalité du tableau que j’ai obtenu en ajoutant des lignes […]
Listes actives dans ArcSight, nettoyage automatique. Partie 2
Une tâche très courante pour tous les développeurs de contenu ArcSight est de nettoyer les listes actives de manière planifiée ou à la demande automatiquement. Dans le précédent article, j’ai décrit comment effacer les listes actives de manière planifiée en utilisant les tendances : https://socprime.com/en/blog/active-lists-in-arcsight-automatic-clearing-part-1/Aujourd’hui, je vais vous montrer deux autres façons d’y parvenir. Nettoyage […]
Créer un tableau de bord simple pour surveiller l’accessibilité des sources dans Splunk
Dans l’article précédent, nous avons examiné l’utilisation du panneau dépendant pour créer des visualisations pratiques dans les tableaux de bord. Si vous l’avez manqué, suivez le lien : https://socprime.com/blog/using-depends-panels-in-splunk-for-creating-convenient-drilldowns/Beaucoup de personnes qui commencent à étudier Splunk se posent des questions sur la surveillance de la disponibilité des données entrantes : quand les données sont-elles venues […]